2011年12月22日

イマ旬キーワード

スマートフォンセキュリティ

企業でも導入が急速に進むスマートフォン。普及にともない増加するセキュリティに関する懸念事項に対する対策について。

技術開発本部 市原 尚久

基本編

スマートフォンが急速に普及する中、企業のスマートフォン導入の際、セキュリティに関する懸念事項が最も多くなっている(図)。スマートフォン導入におけるセキュリティ対策には、大きく4つの観点がある。

【図】

図:スマートデバイス導入時の懸念事項参考1

1.盗難・紛失対策

盗難・紛失対策は、MDM(モバイル・デバイス管理)が有効だ。端末を一元管理し、紛失時にはリモートでロックをかけたりワイプする事のできる製品が当社も含めて参考2多数登場している。これは、米国のBlackBerryとWindowsMobileの普及に伴い、登場してきた製品(AfariaやMobileIron)が日本に進出したことがきっかけである。

2.不正アクセス・なりすまし対策

不正アクセス・なりすまし対策は、OSが提供するVPN機能とNTTデータ先端技術(株)の「NOSiDE」スマートフォン対応版参考3の組み合わせなどにより実現できる。

3.情報漏洩対策

情報漏洩対策は、スマートフォンOSが提供するWiFi暗号化機能、VPN機能、ストレージ暗号化(Android OSの場合は、ver4.*以降)などを利用することで実現できる。

4.マルウェア対策

4.マルウェア対策は、Androidに関しては安価の対策ソフトが大手セキュリティベンダから販売されている。iOS版など、Android以外のOSに対応する製品も存在するが、ウイルスの数自体が多くないため、あまり普及していない。

応用編

個人情報、機密データ、著作権コンテンツ、ヴァーチャルマネーなどを扱うAndroidアプリを開発、提供する場合(例:銀行系、決済系、セキュリティソフト、電子書籍、ゲーム、等)、基本編に追加して、「アプリケーション改ざん」と「Root化」の対策を考慮しなければならない。
Androidアプリでは、リバースエンジニアリングによる動作解析やソースコード解析が比較的簡単に実行できることが知られている。実際、マルウェアを仕込まれた無料アプリがマーケットに登録された事件が2011年2月に起きている参考4
リバースエンジニアリングを容易にする手段として、「Root化」がある。一般にスマートフォンのOSは、出荷状態においてユーザ権限でしか動作しない仕組みになっているが、OSの脆弱性を突いた処理を走らせる事で、OSの管理者権限(Linuxにおけるroot権限)を奪取することが出来る場合がある。これにより、アプリケーションの挙動や扱うデータ、通信データ、VPN通信の暗号鍵などが丸見えになってしまう。
技術開発本部では、この課題に対して、アプリ改ざんやRoot化を検知するAndroidアプリ専用モジュールを開発し、スマートフォンのセキュリティ対策を強化している。今後BizSMA参考5のラインナップにも加える予定である。

参考文献

著者プロフィール

【写真】

技術開発本部 市原 尚久

イマ旬キーワード

お気軽に
お問い合わせ
ください

スマートフォンのセキュリティ~基本から応用までに関するお問い合わせ

お問い合わせフォーム

スマートフォンのセキュリティ~基本から応用までに関連する情報

サービス

お客様に安心して利用いただける最適なクラウド基盤を実現

技術力と豊富な実績が可能にする先進のセキュリティソリューションをご提供